yarn.lock、package-lock.json、npm-shrinkwrap.json的区别

已于 2023-08-22 17:36:35 修改
阅读量569 收藏 1
点赞数 1
分类专栏: vue 文章标签: npm yarn lock package shrinkwrap json
于 2023-08-22 17:28:00 首次发布
原文链接:https://blog.csdn.net/qwe435541908/article/details/99779538
版权

总的来说yarn.lock和package-lock.json起的作用相同。只不过yarn是默认的,npm到5以后才会出现lock
package-lock.json是npm5的新特性,也不向前兼容,如果npm版本是4或以下,那得用npm-shrinkwrap.json

1. 先说下yarn下载包的流程

第一次,首先执行yarn install,会按照语义版本控制规则(在下面会解释)下载最新的依赖包并且构建为依赖关系树,也就是把共有的部分提取出来。然后生成yarn.lock文件。并且生成本地缓存。
以后执行yarn install会先对比package.json版本号和yarn.lock版本号是否一致。分两种情况:
(1)如果不一致会根据package中的版本号以及语义版本控制规则去下载最新的包,并更新至yarn.lock
(2)如果一致,会根据lock查看缓存进行复制,没有缓存就按照路径下载,注意:这里不会理会package实际包的版本是否有更新。这个比如删除node_moudles后再执行yarn install会复制缓存,而不是重新下载,同时也会根据yarn.lock文件中依赖的相互关系生成依赖树,版本也和package中的相同。

npm5中是 如果改了package.json,且package.jsonpackage-lock.json文件中包版本号不一致,那么执行npm i时npm会根据package中的版本号以及语义含义去下载最新的包,并更新至lock。如果两者是同一状态,那么执行npm i都会根据lock下载,不会理会package实际包的版本是否有新。和yarn是一样的。

2. npm-shrinkwrap.json 与 package-lock.json的区别与联系

从npm版本看
package-lock.json是npm5的新特性,也不向前兼容,如果npm版本是4或以下,那得用npm-shrinkwrap.json

从npm处理机制来看

  • 在一个项目里,如果本身不存在这两个文件,那么在运行npm install时,会自动生成一个package-lock.json,或者在初始化一个项目npm init时,也会生成package-lock.json,安装信息会依据该文件进行,而不是单纯按照package.json,这两个文件的优先级都比package.json
  • 如果项目两个文件都存在,那么安装的依赖是依据npm-shrinkwrap.json来的,而忽略package-lock.json
  • 运行命令npm shrinkwrap后,如果项目里不存在package-lock.json,那么会新建一个npm-shrinkwrap.json文件,如果存在package-lock.json,那么会把package-lock.json重命名为npm-shrinkwrap.json

从文件更新来看
npm-shrinkwrap.json只会在运行npm shrinkwrap才会创建/更新
package-lock.json会在修改pacakge.json或者node_modules时就会自动产生或更新了。

从发布包来看
package-lock.json不会在发布包中出现,就算出现了,也会遭到npm的无视。
npm-shrinkwrap.json可以在发布包中出现

3. 解释与实践

项目package.json中包版本号前如果有^ ~之类的会按照语义版本控制规则(也可以看下这个博客https://blog.csdn.net/ZQ_KING/article/details/81560075)安装规则下最高版本的包(只限定于没有lock文件时候。如果有lock文件会根据lock文件中的下载路径下载,当然你可以在有lock文件情况下yarn upgrade vue,就会按照语义规则下最高版本的包下载)。但是package.json中的对应包的版本号没变,只改变了yarn.lock中对应包的部分信息和node_moudles中的对应包。(比如执行yarn upgrade vue时vue:2.6.5的包会下载2.6.5的包,vue:^2.6.5的包会下载2.6.10最新的包,如果yarn upgrade vue@版本号就会下载对应版本的包)
比如拿vue这个包来说,现在最高版本号是2.6.10,我package.json文件中版本号是^2.6.6,当yarn install时,它会下载>=2.6.6 <3.0.0间最大的就是2.6.10版本号的vue包(只限定于没有lock文件,有lock文件会根据lock中的路径下载对应版本)。它会先更新node_moudles然后更新yarn.lock中vue包内容。下载完成后package.json中vue版本号还是vue : ^2.6.6,更新yarn.lock文件中vue包的详细信息为:
在这里插入图片描述
实际上node_moudles中下载的是2.6.10版本的。所以说提不提交yarn.lock到代码托管平台是有争议的,因为提交了可能依赖会有地雷,不提交依赖关系可能会出错,一般来说是应该提交的。可以看这个(为什么我不使用 shrinkwrap(lock)

4. yarn.lock文件的作用(自己理解的,如有错误请指出)

yarn.lock是为了维护树关系,保证依赖间的相互关系,和包的下载路径。如果改了package.json版本号,且package.json和lock文件版本号不同,那么执行yarn install时,会根据package中的版本号以及语义含义去下载最新的包,并更新至lock。这也是yarn.lock提交到代码托管平台的原因。因为安装依赖时会按照lock中下载路径走,并且不需要重新生成依赖关系树了,其他机器yarn install时包间依赖关系和版本就不会出现的错误。npm中npm install有可能会因为包间的版本不同导致版本和依赖错误(除非有package.lock.json文件)。

总的来说yarn.lockpackage-lock.json起的作用相同。只不过yarn是默认的,npm到5以后才会出现lock。两者确定包间的依赖关系算法也不同,总之yarn就是为了弥补npm的缺陷而出现的。

5. 相关链接

yarn:
https://yarn.bootcss.com/docs/dependency-versions/(版本范围规则)
https://yarn.bootcss.com/blog/2016/11/24/lockfiles-for-all/(yarn.lock文件应该提交到托管平台上)
https://yarn.bootcss.com/docs/yarn-lock/(yarn.lock文件解释)

npm:
https://www.zhihu.com/question/264560841(package-lock.json 需要写进 .gitignore 吗?)
https://juejin.im/post/5c53bea8e51d457fbe226efb(对npm包精准控制之npm-shrinkwrap.json与package-lock.json)
https://zhuanlan.zhihu.com/p/22934066(为什么我不使用 shrinkwrap(lock))

HD243608836
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
package-lock.jsonyarn.lock的包依赖区别
weixin_34066347的博客
11-20 3060
node包管理 包是一段可以复用的代码,这段代码可以从全局注册表下载到开发者的本地环境。每个包可能会,也可能不会依赖于别的包。简单地说,包管理器是一段代码,它可以让你管理依赖(你或者他人写的外部代码),你的项目需要这些依赖来正确运行。 为啥我们需要一个包管理工具呢?因为我们在Node.js上开发时,会用到很多别人写的JavaScript代...
实现yarnlockpackagelockjson相互转换
08-11
实现yarn.lockpackage-lock.json相互转换
yarn的安装和使用
最新发布
走向CTO的路上...
05-06 1001
虽然 npm 仍然是 Node.js 官方推荐的包管理器,但 Yarn 凭借其出色的性能和特性,已经成为许多开发人员和大型项目的首选。Yarn 使用 yarn.lock 文件来锁定依赖包的版本,确保在不同环境下安装的依赖包完全一致,避免了"快照"问题。随着单体仓库架构在大型项目中的流行,Yarn 可以进一步增强对这种架构的支持,提供更好的工作流和依赖管理。相比 npm,Yarn 的快速安装速度和离线缓存机制大大提高了依赖管理的效率,节省了开发人员的时间。
package.jsonpackage-lock.jsonyarn.lock
weixin_50736511的博客
10-28 1754
NPMYARN 是两个不同的包管理系统, 其中 NPM 生成 package-lock.json, YARN 生成 yarn.lock, 这两个文件记录当前项目所依赖的各个包的版本。为了在多台机器之间获得一致的安装结果,Yarn 可能会需要比 package.json 文件中配置的依赖项更多的信息。例如:我们使用了jquery1.x版本,如果没有锁定版本,npm install时会自动安装最新版,jq1.x版本和jq2.x版本是有重大差异的,此时自动安装2.x版本可能会导致某些问题。
package.json package-lock.json yarn.lock相关知识
BingHongChaZuoAn的专栏
08-27 1304
参考文章: https://swift.ctolib.com/imsnif-synp.html https://segmentfault.com/a/1190000017239545?utm_source=tag-newest 一 、首先package.jsonpackage-lock.jsonnpm管理 包依赖的配置文件。而 yarn.lockyarn 管理包依赖的文...
npm 更新_对npm包精准控制之npm-shrinkwrap.jsonpackage-lock.json
weixin_39637919的博客
11-27 641
npm-shrinkwrap.json该文件是通过运行 npm shrinkwrap命令产生的,在npm5之前(不包括5),主要是用来精准控制安装指定版本的npm包。具体啥意思?在开发一个项目的时候,特别是多人协作,或者在不同设备中对同一个项目进行开发,可能会遇到这样的问题,A同事通过npm install安装了一些在某个版本下的npm包,过了一段日子,某个npm包内容功能更新了(更不幸的话还可能...
关于package.jsonpackage-lock.json区别
jigetage的专栏
12-11 4541
5.0以后的node.js,在安装项目的时候,会产生package-lock.json文件。这个package-lock.json文件,与之前的package.json文件有什么区别吗? 答案: package.json文件记录你项目中所需要的所有模块。当你执行npm install的时候,node会先从package.json文件中读取所有dependencies信息,然后根据depende...
Node.js-npm是Node.js的包管理工具
08-10
- 学习和掌握 npm 的最佳实践,如使用 `npm ci` 替代 `npm install` 以提高构建速度,或者使用 `npm shrinkwrap` 或 `npm lockfile` 固定依赖版本。 总的来说,npm 是 Node.js 生态系统的重要组成部分,它极大地...
Node.js中package.json中库的版本号(~和^)
10-17
1. **使用`package-lock.json`或`npm-shrinkwrap.json`**:当执行`npm install`时,npm会自动生成或更新这两个文件,以锁定所有依赖的具体版本。这样,无论在哪台机器上执行`npm install`,都能得到完全一样的依赖...
npm install报错-vue-element-admin-fix-npm-problem-master.zip
01-02
解决方法是查阅相关依赖的更新日志,或使用`npm shrinkwrap`或`yarn.lock`文件锁定依赖版本。 3. **权限问题**:在执行`npm install`时,如果没有足够的权限,也会报错。确保以管理员权限运行终端或者修改目录权限...
npm-package-release
03-09
使用`npm install`安装本地依赖,而`npm shrinkwrap`或`yarn lock`文件可以锁定依赖版本,避免他人安装时因版本差异引起的问题。 接下来,执行`npm test`确保所有测试都能通过,这体现了代码的稳定性。如果项目有...
优先级纱线:如果项目具有yarn.lock,请将npm install更改为yarn
02-03
优先纱线 如果项目具有yarn.lock,请将npm install更改为yarn。 命令行界面 $ npm install --global prioritize-yarn $ alias npm='prioritize-yarn' // Using yarn, when there is a `yarn.lock`. $ npm install yarn install v0.18.1 [1/4] :magnifying_glass_tilted_left: Resolving packages... [2/4] :delivery_truck: Fetching packages... [3/4] :link: Linking dependencies... [4/4] :page_with_curl:
greenkeeper-lockfile, 你的锁定,最新,所有时间.zip
09-17
greenkeeper-lockfile, 你的锁定,最新,所有时间 greenkeeper锁定在为存储库启用之后,可以使用这个包使它的与lockfiles一起使用,例如 npm-shrinkwrap.jsonpackage-lock.json 或者 yarn.lock
yarn.lockpackage-lock.jsonnpm-shrinkwrap.json的理解
Mybells
08-20 4894
1. 先说下yarn下载包的流程 2. npm-shrinkwrap.jsonpackage-lock.json区别与联系 3. 解释与实践 4. yarn.lock文件的作用 5. 相关链接
package.jsonpackage-lock.json区别
c2311156c的博客
05-15 1万+
package.json:主要用来定义项目中需要依赖的包package-lock.json:在 `npm install`时候生成一份文件,用以记录当前状态下实际安装的各个npm package的具体来源和版本号。'^' :放在版本号之前,表示向后兼容依赖,说白了就是在大版本号不变的情况下,下载最新版的包项目中引入的包版本号之前经常会加^号,每次在执行npm install之后,下载的包都会发生变...
npm/yarn lock
油墨香^-^的博客
12-09 674
看完本文,你将从整体了解依赖版本锁定原理,或yarn.lock的重要性。首先要从最近接连出现两起有关npm安装中依赖包,由于依赖包版本更新bug造成项目出错问题说起。项目在以后重新构建,由于依赖树中有版本更新,造成意外事故是不可避免的,究其原因是整个依赖树版本没有锁死。中固定版本。注意:仅能锁定当前依赖包版本,不能控制整棵依赖树版本。。。。根据自身情况选择。
npmyarnlock文件
wade3po的博客
11-20 2498
npm安装依赖的时候会生成package-lock.json文件,几乎不会有人去关注这个文件是干嘛的,今天同事突然跟我说以后安装依赖都用yarn,不然会出现两个lock文件。 yarn是Facebook、Google、Exponent 和 Tilde 联合推出了一个新的 JS 包管理工具,说是为了弥补npm的一些缺陷。最大的体现是速度上,npm确实是慢,国内更是很容易失败报错,我基本使用淘宝cnpmnpm必须等到上一个依赖安装成功之后才能安装下一个,yarn是并行安装,速度上提高的不是一点半点,其实安装依
yarn.lock 文件介绍
热门推荐
云满笔记
06-15 1万+
NPMYARN 是两个不同的包管理系统, 其中 NPM 生成 package-lock.json, YARN 生成 yarn.lock, 这两个文件记录当前项目所依赖的各个包的版本。最安全的做法是在每次依赖关系发生变化时生成并提交它们。 但是, 这可能很麻烦, 或者两个文件可能不同步。所以现在的一般做法是只保留其中一个文件, 忽略另外一个文件, 这取决于当前使用的包管理系统。推荐使用 YARN, 即保留 yarn.lock, 而且每次变动需要提交该文件。官方对 文件的说明如下:需要注意的是: 所有
yarn.lock的具体的作用是什么?它能给项目带来什么作用?
weixin_45438577的博客
11-09 5936
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/mangoyiy/article/details/79972759 Yarn使用确定性算法,在将文件放置到需要的位置之前构建整个依赖关系树。安装过程中重要信息存储到yarn.lock文件中,以便可以在安装依赖关系的每个系统之间共享!此文件包含有关已安装的每个依赖项的确切版本的信息以及代码的校验和以确保代码完全相同。 此文件会锁定你安装的每个依赖项的版
项目中有package-lock.jsonyarn.lock
08-09
在一个项目中同时存在package-lock.jsonyarn.lock文件是可能的。package-lock.jsonnpm的一种机制,用于记录安装依赖的具体版本和依赖关系,而yarn.lockyarn的一种机制,用于维护依赖间的相互关系和包的下载路径。 如果项目中同时存在这两个文件,npm会优先使用npm-shrinkwrap.json来安装依赖,而忽略package-lock.json。如果npm-shrinkwrap.json文件不存在,npm会根据package-lock.json来安装依赖。如果项目中同时存在package-lock.jsonyarn.lockyarn会根据yarn.lock来安装依赖,并且不需要重新生成依赖关系树,从而避免了包间的版本和依赖错误。 因此,当项目中同时存在package-lock.jsonyarn.lock时,yarn会使用yarn.lock来安装依赖,而忽略package-lock.json。这样可以确保在不同机器上安装依赖时,包间的依赖关系和版本一致,从而避免出现错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值